Cómo Desplegar un FortiGate VNF en la Nube
Despliega un FortiGate como función de red virtual (VNF) y valida el acceso inicial por consola web o SSH.
Un FortiGate VNF es una función de red virtual: un firewall de Fortinet que despliegas como servidor dentro de tu suscripción y operas tú.
En esta guía lo creas desde el Marketplace, lo conectas a tus redes y validas el acceso a su consola.
Qué consiguesUn FortiGate desplegado y en marcha, con IP pública en su interfaz de gestión y acceso confirmado por consola web y SSH.
Antes de empezar
- Acceder al panel de Plenit con permisos para crear servidores.
- Tener pensado un nombre (por ejemplo
FortinetKing) y la región y zona del despliegue. - Reservar como mínimo los recursos recomendados por Fortinet: 1 vCPU, 2 GB de RAM y 2 GB de disco.
- Decidir las redes a conectar (una de gestión y, si aplica, una interna) y si usarás contraseña manual o autogenerada.
Paso 1. Crea un nuevo servidor
En el panel, ve a Nuevo servicio → Servidores → Dar de alta servidor y dale un nombre identificativo (por ejemplo FortinetKing). Los VNF como FortiGate se gestionan dentro del servicio de Servidores.
Paso 2. Selecciona región y zona
Elige el país y la zona que mejor se ajusten a tu infraestructura o a la de tu cliente.
Paso 3. Asigna recursos
Ajusta CPU, RAM y disco a tus necesidades, partiendo de los mínimos de Fortinet (1 vCPU, 2 GB de RAM, 2 GB de disco). Si vas a mover mucho tráfico o varias VPN, dimensiona por encima del mínimo.
Paso 4. Selecciona la imagen FortiGate
En el apartado Imágenes, abre el Marketplace, elige FortiGate como tipo de VNF y selecciona la imagen que mejor encaje con tu infraestructura.
Paso 5. Configura el almacenamiento
Mantén el disco principal en 2 GB: por limitación del fabricante, el disco donde se instala el VNF solo admite ese tamaño. Si necesitas espacio para configuraciones, logs o almacenamiento extra, añade discos adicionales (hasta 1 TB cada uno, y puedes añadir varios).
Paso 6. Configura la red
Puedes añadir varias interfaces y elegir entre IP Directa, Estándar, VPC o Layer 2 (L2). Para un despliegue funcional, lo habitual es una interfaz de gestión con IP Directa (acceso externo inmediato) y una interfaz interna con Red L2 para enrutar el tráfico de tu infraestructura.
La red de gestión que elijas cambia cómo controlas el acceso:
| Red de gestión | ¿Filtra por IP de origen? | Control de acceso |
|---|---|---|
| Estándar o VPC | Sí, desde la red | Capa de control extra antes de que el tráfico llegue al FortiGate |
| IP Directa | No desde la red | Con GeoIP o con políticas del propio FortiGate |
Si usas IP Directa, controla el acceso aparteCon IP Directa el tráfico llega directo a la interfaz pública del FortiGate y no puedes filtrar por IP de origen desde la red. Aplica el control con GeoIP o con políticas de seguridad del propio FortiGate.
Paso 7. Completa la configuración final
Identificación: define el hostname, el usuario administrador (por defecto admin) y la contraseña, manual o autogenerada.
La contraseña autogenerada no se cambia luegoSi no rellenas la contraseña, el usuario será
adminy la contraseña se generará automáticamente y se entregará al crear el servidor. Esa contraseña autogenerada no se puede cambiar después con la función de restablecer contraseña, así que guárdala en un lugar seguro en el momento de la creación.
Monitorización (SNMP Community): está deshabilitada por defecto. Actívala en el despliegue para ver métricas básicas de CPU, memoria y disco desde el primer momento; si no lo haces aquí, puedes habilitarla luego por la CLI del FortiGate, pero la opción del panel quedará deshabilitada.
Puertos de administración en la red de gestión:
- HTTPS: puedes dejarlo en 443, aunque se recomienda 8443.
- SSH: puedes mapearlo a un puerto alternativo, por ejemplo 2022.
Tras el despliegue te conectarás con https://IP:8443 y ssh admin@IP -p 2022.
Paso 8. Valida el despliegue y accede
En Servidores / Mis servidores, localiza la suscripción recién creada y comprueba que el estado es Running / Activo y que la interfaz IP Direct tiene una IP pública asignada. Después, abre la consola web en el navegador:
https://IP:8443Introduce las credenciales del Paso 7 (o admin y la contraseña autogenerada). Si todo está bien, verás la consola web de FortiGate lista.
Para comprobarlo desde terminal, valida que el puerto de administración responde y, si trabajas por CLI, entra por SSH:
curl -kI https://<IP>:8443
ssh admin@<IP> -p 2022(El -k es porque el certificado inicial es autofirmado.)
Validación
Da el despliegue por bueno si se cumple todo esto:
- El servidor aparece en estado Running / Activo.
- La interfaz IP Direct tiene una IP pública asignada.
- La consola web responde en
https://IP:8443. - Inicias sesión con las credenciales configuradas o con las autogeneradas.
Notas operativas y de seguridad
- Con IP Directa como gestión, limita el acceso con GeoIP o con políticas del FortiGate, ya que la red no filtra por IP de origen.
- Cambia los puertos de administración a valores no estándar (8443 / 2022) para reducir exposición.
- Guarda la contraseña autogenerada en cuanto se cree el servidor.
- Tras el primer acceso, revisa los logs y exporta una copia inicial de la configuración.
Conclusión
Con esto tienes un FortiGate VNF desplegado y accesible, listo para integrarse en tu infraestructura como perímetro bajo tu control.
A partir de aquí, los pasos que marcan la diferencia son los de siempre en un firewall: registrar la licencia y los servicios de FortiGuard si aplican, montar las políticas de seguridad, exportar un backup de la configuración inicial y dejar la monitorización SNMP enviando métricas.
Cuanto antes endurezcas el acceso de gestión, menos expuesto queda el equipo.